“Underbed”托管是位于普通住宅公寓并连接到家庭互联网通道的服务器的俚语名称。 此类服务器通常托管公共 FTP 服务器、所有者的主页,有时甚至托管其他项目。 这种现象在通过专用通道提供经济实惠的家庭互联网出现的早期很常见,当时在数据中心租用专用服务器过于昂贵,而且虚拟服务器还不够普及和方便。
大多数情况下,一台旧计算机被分配给“底层”服务器,所有找到的硬盘驱动器都安装在其中。 它还可以用作家庭路由器和防火墙。 每一个有自尊心的电信员工家里肯定有这样一台服务器。
随着价格实惠的云服务的出现,家庭服务器已经不再那么受欢迎,如今住宅公寓中最多的是用于存储相册、电影和备份的 NAS。
本文讨论了与家庭服务器相关的奇怪案例及其管理员面临的问题。 让我们看看现在这种现象是什么样子,并选择今天可以在您的私人服务器上托管哪些有趣的东西。
新卡霍夫卡的家庭网络服务器。 照片来自 nag.ru 网站
正确的IP地址
家庭服务器的主要要求是存在真实的 IP 地址,即可从互联网路由。 许多提供商并不为个人提供此类服务,必须通过特殊协议才能获得。 提供商通常需要签订一份单独的合同来提供专用知识产权。 有时,甚至此过程还涉及为所有者创建一个单独的 NIC 句柄,因此可以使用 Whois 命令直接获取他的全名和家庭地址。 在这里,我们在网上争论时要小心,因为“按IP计算”的笑话不再是笑话了。 顺便说一句,不久前还发生过一起丑闻 ,决定将所有客户的个人数据放入 whois 中。
永久 IP 地址与 DynDNS
如果您设法获得永久 IP 地址,那就太好了 - 然后您可以轻松地将所有域名定向到该地址并忘记它,但这并不总是可能的。 许多大型联邦规模的 ADSL 提供商仅在会话期间为客户提供真实的 IP 地址,也就是说,它可能每天更改一次,或者在调制解调器重新启动或连接丢失时更改。 在这种情况下,Dyn(动态)DNS 服务就派上用场了。 最受欢迎的服务 ,长期免费,使得在该区域获得子域名成为可能 *.dyndns.org,当IP地址发生变化时可以快速更新。 客户端的一个特殊脚本不断地敲击DynDNS服务器,如果其传出地址发生变化,新地址会立即安装在子域的A记录中。
关闭的端口和禁止的协议
许多提供商,尤其是大型 ADSL,反对用户在其地址上托管任何公共服务,因此他们禁止对 HTTP 等流行端口的传入连接。 在一些已知的案例中,提供商封锁了《反恐精英》和《半条命》等游戏服务器的端口。 这种做法至今仍然很流行,但有时会引起问题。 例如,几乎所有提供商都会阻止 RPC 和 NetBios Windows 端口(135-139 和 445)以防止病毒传播,以及电子邮件 SMTP、POP3、IMAP 协议的频繁传入端口。
除 Internet 之外还提供 IP 电话服务的提供商喜欢阻止 SIP 协议端口,以强制客户端仅使用其电话服务。
PTR和邮件发送
托管您自己的邮件服务器是一个单独的大主题。 在你的床下放置一个完全由你控制的个人电子邮件服务器是一个非常诱人的想法。 但在实践中实施并不总是可行的。 大多数家庭 ISP IP 地址范围在垃圾邮件列表中被永久阻止 (),因此邮件服务器只是拒绝接受来自本地提供商的 IP 地址的传入 SMTP 连接。 结果,从这样的服务器上发送信件几乎是不可能的。
另外,要成功发送邮件,还需要在IP地址上安装正确的PTR记录,即IP地址到域名的逆向转换。 绝大多数提供商只有在签订特别协议或签订单独合同时才同意这一点。
我们正在寻找邻居的床下服务器
使用 PTR 记录,我们可以查看哪些 IP 地址邻居同意为其 IP 设置特殊的 DNS 记录。 为此,请获取我们的家庭 IP 地址并为其运行命令 域名,我们得到提供商向客户发布的地址范围。 可能有很多这样的范围,但为了实验的目的,让我们检查一个。
在我们的例子中,这是在线提供商 (Rostelecom)。 让我们去 并获取我们的IP地址:
顺便说一句,即使没有专用的 IP 地址服务,Online 也是始终向客户颁发永久 IP 的提供商之一。 但是,该地址可能几个月都不会改变。
让我们使用 nmap 解析整个地址范围 95.84.192.0/18(大约 16 个地址)。 选项 -sL 本质上不会主动扫描主机,而只会发送 DNS 查询,因此在结果中我们只会看到包含与 IP 地址关联的域的行。
$ nmap -sL -vvv 95.84.192.0/18
......
Nmap scan report for broadband-95-84-195-131.ip.moscow.rt.ru (95.84.195.131)
Nmap scan report for broadband-95-84-195-132.ip.moscow.rt.ru (95.84.195.132)
Nmap scan report for broadband-95-84-195-133.ip.moscow.rt.ru (95.84.195.133)
Nmap scan report for broadband-95-84-195-134.ip.moscow.rt.ru (95.84.195.134)
Nmap scan report for broadband-95-84-195-135.ip.moscow.rt.ru (95.84.195.135)
Nmap scan report for mx2.merpassa.ru (95.84.195.136)
Nmap scan report for broadband-95-84-195-137.ip.moscow.rt.ru (95.84.195.137)
Nmap scan report for broadband-95-84-195-138.ip.moscow.rt.ru (95.84.195.138)
Nmap scan report for broadband-95-84-195-139.ip.moscow.rt.ru (95.84.195.139)
Nmap scan report for broadband-95-84-195-140.ip.moscow.rt.ru (95.84.195.140)
Nmap scan report for broadband-95-84-195-141.ip.moscow.rt.ru (95.84.195.141)
Nmap scan report for broadband-95-84-195-142.ip.moscow.rt.ru (95.84.195.142)
Nmap scan report for broadband-95-84-195-143.ip.moscow.rt.ru (95.84.195.143)
Nmap scan report for broadband-95-84-195-144.ip.moscow.rt.ru (95.84.195.144)
.....
几乎所有地址都有一个标准的 PTR 记录,例如 宽带地址.ip.moscow.rt.ru 除了几件事之外,包括 mx2.merpassa.ru。 从mx子域来看,这是一个邮件服务器(邮件交换)。 让我们尝试在服务中检查这个地址
可以看出,整个IP范围都在永久阻止列表中,从该服务器发送的信件极少会到达收件人。 选择发送邮件的服务器时请考虑这一点。
将邮件服务器保留在您的家庭提供商的 IP 范围内始终是一个坏主意。 这样的服务器在发送和接收邮件时会出现问题。 如果您的系统管理员建议直接在办公室 IP 地址上部署邮件服务器,请记住这一点。
使用真实托管或电子邮件服务。 这样您就不必经常打电话来检查您的信件是否已到达。
托管在 WiFi 路由器上
随着像 Raspberry Pi 这样的单板计算机的出现,看到一个网站在香烟盒大小的设备上运行并不奇怪,但即使在 Raspberry Pi 之前,爱好者们就直接在 WiFi 路由器上运行主页!
传奇的WRT54G路由器,2004年启动OpenWRT项目
OpenWRT项目开始的Linksys WRT54G路由器没有USB端口,但工匠们在其中发现了焊接的GPIO引脚,可以用作SPI。 这就是为设备添加 SD 卡的 mod 的出现方式。 这为创造力提供了巨大的自由。 您甚至可以组合整个 PHP! 我个人记得我是如何在几乎不知道如何焊接的情况下将 SD 卡焊接到该路由器上的。 稍后,USB端口将出现在路由器中,您只需插入闪存驱动器即可。
此前,网上有几个项目是完全在家庭WiFi路由器上启动的;下面会对此进行说明。 不幸的是,我找不到一个实时网站。 也许你知道这些?
宜家桌子的服务器柜
有一天,有人发现宜家一款名为 Lack 的流行咖啡桌非常适合用作标准 19 英寸服务器的机架。 由于其 9 美元的价格,这款桌子在创建家庭数据中心时非常受欢迎。 这种安装方法叫做 .
宜家 Lakk 桌子是代替服务器柜的理想选择
这些桌子可以一张叠放,形成真正的服务器机柜。 不幸的是,由于层压刨花板脆弱,沉重的服务器导致桌子散架。 为了可靠性,它们用金属角加固。
学童如何剥夺我上网的权利
正如预期的那样,我也有自己的床下服务器,上面运行着一个简单的论坛,专门讨论与游戏相关的主题。 有一天,一名好斗的男生对禁令不满,说服了他的战友,他们一起开始从家里的电脑上对我的论坛进行 DDoS。 由于当时整个互联网通道大约有20兆,他们成功地将我家的互联网完全瘫痪了。 防火墙阻止没有任何帮助,因为通道已完全耗尽。
从外面看起来很有趣:
- 你好,为什么不在 ICQ 上回复我?
- 抱歉,没有互联网,他们正在试图找到我。
联系提供商并没有帮助,他们告诉我,处理这个问题不是他们的责任,他们只能完全阻止我传入的流量。 所以我在没有互联网的情况下坐了两天,直到攻击者厌倦了。
结论
应该有一系列可以部署在家庭服务器上的现代 P2P 服务,例如 ZeroNet、IPFS、Tahoe-LAFS、BitTorrent、I2P。 但在过去的几年里,我的看法发生了很大的变化。 我认为,在家庭 IP 地址上托管任何公共服务,尤其是那些涉及下载用户内容的公共服务,都会给居住在公寓中的所有居民带来不合理的风险。 现在我建议您尽可能禁止来自互联网的传入连接,放弃专用IP地址,并将所有项目保留在互联网上的远程服务器上。
在 Instagram 上关注我们的开发者
来源: habr.com